KR101291782B1 - Webshell detection and corresponding system - Google Patents

Webshell detection and corresponding system Download PDF

Info

Publication number
KR101291782B1
KR101291782B1 KR1020130009330A KR20130009330A KR101291782B1 KR 101291782 B1 KR101291782 B1 KR 101291782B1 KR 1020130009330 A KR1020130009330 A KR 1020130009330A KR 20130009330 A KR20130009330 A KR 20130009330A KR 101291782 B1 KR101291782 B1 KR 101291782B1
Authority
KR
South Korea
Prior art keywords
information
detection
target server
webshell
web page
Prior art date
Application number
KR1020130009330A
Other languages
Korean (ko)
Inventor
이재우
Original Assignee
인포섹(주)
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 인포섹(주) filed Critical 인포섹(주)
Priority to KR1020130009330A priority Critical patent/KR101291782B1/en
Priority to CN201310080172.XA priority patent/CN103973664A/en
Priority to US13/845,360 priority patent/US8832834B2/en
Priority to JP2013060408A priority patent/JP5410626B1/en
Application granted granted Critical
Publication of KR101291782B1 publication Critical patent/KR101291782B1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1483Countermeasures against malicious traffic service impersonation, e.g. phishing, pharming or web spoofing
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B42BOOKBINDING; ALBUMS; FILES; SPECIAL PRINTED MATTER
    • B42DBOOKS; BOOK COVERS; LOOSE LEAVES; PRINTED MATTER CHARACTERISED BY IDENTIFICATION OR SECURITY FEATURES; PRINTED MATTER OF SPECIAL FORMAT OR STYLE NOT OTHERWISE PROVIDED FOR; DEVICES FOR USE THEREWITH AND NOT OTHERWISE PROVIDED FOR; MOVABLE-STRIP WRITING OR READING APPARATUS
    • B42D5/00Sheets united without binding to form pads or blocks
    • B42D5/04Calendar blocks
    • B42D5/047Calendar blocks in which the calendar sheet or sheets are combined with other articles
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B42BOOKBINDING; ALBUMS; FILES; SPECIAL PRINTED MATTER
    • B42PINDEXING SCHEME RELATING TO BOOKS, FILING APPLIANCES OR THE LIKE
    • B42P2221/00Books or filing appliances with additional arrangements
    • B42P2221/02Books or filing appliances with additional arrangements with indicating means

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer And Data Communications (AREA)
  • Information Transfer Between Computers (AREA)
  • Debugging And Monitoring (AREA)

Abstract

PURPOSE: A webshell detecting and corresponding system is provided to remotely detect infection based on information collected in a detecting object server without installing a webshell detecting application in the detecting object server, thereby preventing collision with a different application processing in the detecting object server. CONSTITUTION: A script interworking unit (110) inserted into a webpage route of a detecting object server by having a script file form processes interworking with an information collecting script which collects information from the detecting object server. A DB managing unit (120) stores integrity hash information of webpage configuring contents of the detecting object server in a database and manages the integrity hash information. An information analyzing unit (130) compares the integrity hash information stored in the DB managing unit with current hash information of the webpage configuring contents of the detecting object server periodically or aperiodically collected by the information collecting script. The information analyzing unit searches altered webpage configuring contents. [Reference numerals] (110) Script interworking unit; (120) DB managing unit; (130) Information analyzing unit; (140) Corresponding managing unit; (AA) Integrity hash information; (BB) Webshell signature

Description

웹쉘 탐지/대응 시스템{Webshell detection and corresponding system}Webshell detection and corresponding system

본 발명은 웹쉘(Webshell) 탐지 기술에 관련한 것으로 특히 탐지 대상 서버에 이진 파일 형태로 컴파일된 별도의 웹쉘 탐지 어플리케이션을 설치하지 않고도 간편하게 탐지 대상 서버의 웹쉘을 탐지할 수 있는 웹쉘 탐지/대응 시스템에 관한 것이다.The present invention relates to a webshell detection technology, and more particularly, to a webshell detection / response system that can easily detect a webshell of a detection target server without installing a separate webshell detection application compiled as a binary file on the detection target server. will be.

웹쉘(Webshell)은 공격자가 원격에서 침입 대상 서버에 명령을 수행할 수 있도록 작성한 asp, php, jsp, cgi 파일 등의 웹 스크립트(Web Script) 파일을 말한다. 공격자는 웹쉘을 이용해 침입 대상 서버의 관리자 권한을 획득한 후, 침입 대상 서버의 웹페이지 소스 코드 열람, 침입 대상 서버내의 컨텐츠 등의 자료 유출, 백도어 프로그램 설치 등의 다양한 공격을 할 수 있다. 최근에는 파일 업로드뿐만 아니라, SQL 인젝션(Injection) 등과 같은 웹 취약점을 공격한 후 지속적으로 침입 대상 서버를 해킹하는 등 그 유형이 점차 교묘해 지고 있다.Webshell is a web script file such as asp, php, jsp, cgi file that an attacker can remotely execute a command on a target server. The attacker can use the web shell to gain administrator rights on the intrusion target server, and then execute various attacks such as viewing the web page source code of the intrusion target server, leaking data on the intrusion target server, and installing a backdoor program. Recently, as well as uploading files, the type is gradually becoming more sophisticated, such as continuously attacking the target server after attacking web vulnerabilities such as SQL injection (Injection).

대한민국 공개특허 제10-2009-0088687호(2009. 08. 20)에서 탐지 대상 컴퓨터에 설치되어 웹쉘 시그니쳐 분석을 통해 탐지 대상 컴퓨터가 웹쉘에 감염되었는지 탐지하고, 등록되지 않은 웹쉘 시그니쳐가 발생한 경우에는 서버로부터 웹쉘 시그니쳐를 업데이트 받는 웹쉘 탐지 기술을 제안하고 있다. In Korean Patent Laid-Open No. 10-2009-0088687 (2009. 08. 20), it is installed on the target computer to detect whether the target computer is infected by web shell signature analysis through web shell signature analysis, and when an unregistered web shell signature occurs, the server We propose a webshell detection technology that updates webshell signatures from.

그러나, 이러한 종래의 웹쉘 탐지 기술은 탐지 대상 서버에 이진 파일 형태로 컴파일된 별도의 웹쉘 탐지 어플리케이션을 설치하여 웹쉘을 탐지해야만 하였으므로, 탐지 대상 서버에서 프로세싱(processing) 중인 다른 어플리케이션과 충돌 가능성이 있었고, 웹쉘 탐지를 위한 별도의 관리 인력이 필요하였고, 웹쉘로 인한 사고 발생시 웹쉘에 대한 전문적인 지식 부재로 신속한 대응이 어려운 문제가 있었다.However, since the conventional webshell detection technology had to install a separate webshell detection application compiled as a binary file on the detection target server to detect the webshell, there was a possibility of conflict with another application processing on the detection target server. There was a need for a separate management manpower for detecting webshells, and in the event of an accident caused by webshells, it was difficult to respond quickly due to the lack of expert knowledge about webshells.

따라서, 본 발명자는 탐지 대상 서버에 이진 파일 형태로 컴파일된 별도의 웹쉘 탐지 어플리케이션을 설치하지 않고도 간편하게 탐지 대상 서버의 웹쉘을 탐지할 수 있는 웹쉘 탐지 기술에 대한 연구를 하게 되었다.Therefore, the present inventors have studied the web shell detection technology that can easily detect the web shell of the detection target server without installing a separate web shell detection application compiled in the form of a binary file on the detection target server.

대한민국 공개특허 제10-2009-0088687호(2009. 08. 20)Republic of Korea Patent Publication No. 10-2009-0088687 (2009. 08. 20)

본 발명은 상기한 취지하에 발명된 것으로, 탐지 대상 서버에 이진 파일 형태로 컴파일된 별도의 웹쉘 탐지 어플리케이션을 설치하지 않고, 탐지 대상 서버의 웹페이지 홈 경로내에 삽입되는 정보 수집 스크립트를 통해 탐지 대상 서버로부터 정보를 수집하고, 수집된 정보를 이용해 원격에서 탐지 대상 서버가 웹쉘에 감염되었는지 여부를 판단할 수 있는 웹쉘 탐지/대응 시스템을 제공함을 그 목적으로 한다.The present invention has been invented under the above-mentioned object, and does not install a separate web shell detection application compiled in binary file format on a detection target server, and detects a server through an information collection script inserted into a web page home path of the detection target server. It aims to provide a web shell detection / response system that can collect information from and use the collected information to determine whether the target server is infected with the web shell remotely.

상기한 목적을 달성하기 위한 본 발명의 일 양상에 따르면, 웹쉘 탐지/대응 시스템이 탐지 대상 서버의 웹페이지 홈 경로내에 삽입되어 해당 탐지 대상 서버로부터 정보를 수집하는 정보 수집 스크립트와의 연동을 처리하는 스크립트 연동부와; 탐지 대상 서버의 웹페이지 구성 컨텐츠들 각각의 무결성 해시정보를 데이터베이스에 미리 저장하여 관리하는 DB 관리부와; 상기 스크립트 연동부에 의해 연동된 정보 수집 스크립트에 의해 주기적 또는 비주기적으로 수집되는 탐지 대상 서버의 웹페이지 구성 컨텐츠들 각각의 현재 해시정보와, 상기 DB 관리부에 의해 저장된 탐지 대상 서버의 웹페이지 구성 컨텐츠들 각각의 무결성 해시정보를 비교하여 변조된 웹페이지 구성 컨텐츠를 검색하는 정보 분석부를; 포함하여 이루어지는 것을 특징으로 한다.According to an aspect of the present invention for achieving the above object, the web shell detection / response system is inserted into the web page home path of the detection target server to process the linkage with the information collection script to collect information from the detection target server A script linkage unit; A DB manager which stores and stores integrity hash information of each of the web page configuration contents of the detection target server in a database; Current hash information of each of the web page configuration contents of the detection target server collected periodically or aperiodically by the information collection script linked by the script linkage unit, and the web page configuration contents of the detection target server stored by the DB manager. An information analyzer configured to compare the respective pieces of integrity hash information and to search for the modulated web page composition content; It is characterized by comprising.

본 발명의 부가적인 양상에 따르면, 웹쉘 탐지/대응 시스템의 정보 분석부가 변조된 웹페이지 구성 컨텐츠 파일 전송을 정보 수집 스크립트로 요청하여 탐지 대상 서버로부터 변조된 웹페이지 구성 컨텐츠 파일을 수신하는 것을 특징으로 한다.According to an additional aspect of the present invention, the information analysis unit of the web shell detection / response system requests the information collection script to transmit the modified web page configuration content file to receive the modified web page configuration content file from the detection target server. do.

본 발명의 부가적인 양상에 따르면, 웹쉘 탐지/대응 시스템의 정보 분석부가 탐지 대상 서버로부터 수신된 변조된 웹페이지 구성 컨텐츠 파일에 대한 웹쉘 특징 패턴(Webshell Signature Pattern) 분석을 수행하여 해당 탐지 대상 서버가 웹쉘(Webshell)에 감염되었는지 탐지하는 것을 특징으로 한다.According to an additional aspect of the present invention, the information analyzing unit of the webshell detection / response system performs a webshell signature pattern analysis on a modulated webpage configuration content file received from a server to be detected so that the corresponding server is detected. It is characterized by detecting whether it is infected by Webshell.

본 발명의 부가적인 양상에 따르면, 웹쉘 탐지/대응 시스템이 상기 정보 분석부에 의해 탐지 대상 서버가 웹쉘(Webshell)에 감염되었다 판단된 경우, 해당 탐지 대상 서버 담당자에게 경고를 수행하는 대응 관리부를 더 포함하는 것을 특징으로 한다.According to an additional aspect of the present invention, when the webshell detection / response system determines that the detection target server is infected with the webshell by the information analyzer, the response management unit further alerts the person in charge of the detection target server. It is characterized by including.

본 발명의 부가적인 양상에 따르면, 웹쉘 탐지/대응 시스템의 대응 관리부가 상기 정보 분석부에 의해 탐지 대상 서버가 웹쉘(Webshell)에 감염되지 않았다 판단된 경우, 웹페이지 구성 컨텐츠의 무결성 해시정보에 대한 업데이트를 요청하는 것을 특징으로 한다.According to an additional aspect of the present invention, if it is determined by the information analyzer that the detection target server is not infected with a webshell, the response management unit of the webshell detection / corresponding system is configured to provide information about the integrity hash information of the webpage configuration content. It is characterized by requesting an update.

본 발명의 부가적인 양상에 따르면, 웹쉘 탐지/대응 시스템의 DB 관리부가 상기 대응 관리부로부터의 웹페이지 구성 컨텐츠의 무결성 해시정보에 대한 업데이트 요청에 따라, 상기 변조된 웹페이지 구성 컨텐츠의 현재 해시정보를 해당 웹페이지 구성 컨텐츠의 무결성 해시정보로 데이터베이스에 저장하여 웹페이지 구성 컨텐츠의 무결성 해시정보를 갱신하는 것을 특징으로 한다.According to an additional aspect of the present invention, the DB management unit of the web shell detection / response system, in response to the update request for the integrity hash information of the web page configuration content from the response management unit, the current hash information of the modulated web page configuration content; The integrity hash information of the web page composition content is updated by storing the integrity hash information of the web page composition content in a database.

본 발명의 부가적인 양상에 따르면, 웹쉘 탐지/대응 시스템의 스크립트 연동부가 탐지 대상 서버의 활성 또는 비활성 상태를 검사하고, 해당 탐지 대상 서버가 활성 상태인 경우 상기 정보 분석부로 변조된 웹페이지 구성 컨텐츠 검색을 요청하는 것을 특징으로 한다.According to an additional aspect of the present invention, the script interlocking unit of the web shell detection / response system checks the active or inactive state of the detection target server, and if the detection target server is active, retrieves the modified webpage configuration content by the information analyzer. Characterized in that request.

본 발명의 부가적인 양상에 따르면, 웹쉘 탐지/대응 시스템의 스크립트 연동부가 상기 탐지 대상 서버가 비활성 상태인 경우, 해당 탐지 대상 서버 접속 실패 로그를 저장하는 것을 특징으로 한다.According to an additional aspect of the present invention, when the detection target server is inactive, the script interlocking part of the web shell detection / corresponding system stores the detection target server access failure log.

본 발명의 부가적인 양상에 따르면, 상기 해시정보가 탐지 대상 서버 식별정보, 웹페이지 구성 컨텐츠 파일의 해시값, 웹페이지 구성 컨텐츠 파일이 저장된 경로 깊이(Depth), 웹페이지 구성 컨텐츠 파일명, 웹페이지 구성 컨텐츠 파일이 저장된 경로명, 웹페이지 구성 컨텐츠 파일의 실행권한, 웹페이지 구성 컨텐츠 파일의 최종수정일, 웹페이지 구성 컨텐츠 파일의 등록일을 포함하는 것을 특징으로 한다.According to an additional aspect of the present invention, the hash information is detected server identification information, the hash value of the web page configuration content file, the path depth (Depth) in which the web page configuration content file is stored, the web page configuration content file name, web page configuration And a path name in which the content file is stored, an execution right of the webpage configuration content file, a last modification date of the webpage configuration content file, and a registration date of the webpage configuration content file.

본 발명의 부가적인 양상에 따르면, 정보 수집 스크립트가 웹쉘 탐지/대응 시스템과 연동되는 장치 연동부와; 탐지 대상 서버의 웹페이지 홈 경로내의 모든 웹페이지 구성 컨텐츠 파일에 대한 현재 해시정보를 생성하여 상기 장치 연동부에 의해 연동된 웹쉘 탐지/대응 시스템으로 전송하는 해시정보 처리부와; 상기 장치 연동부에 의해 연동된 웹쉘 탐지/대응 시스템으로부터의 변조된 웹페이지 구성 컨텐츠 파일 전송 요청에 따라, 탐지 대상 서버의 웹페이지 홈 경로내의 변조된 웹페이지 구성 컨텐츠 파일을 웹쉘 탐지/대응 시스템으로 전송하는 파일 처리부를; 포함하여 이루어지는 것을 특징으로 한다.According to an additional aspect of the present invention, there is provided an information collection script comprising: a device interlocking unit for interworking with a web shell detection / corresponding system; A hash information processing unit generating current hash information of all web page configuration content files in a web page home path of a detection target server and transmitting the generated hash information to a web shell detection / corresponding system linked by the device interworking unit; In response to a request for transmitting a modulated webpage configuration content file from the webshell detection / response system interworked by the device interlocking unit, the webpage detection content response of the webpage configuration content file in the webpage home path of the server to be detected is transferred to the webshell detection / response system. A file processor for transmitting; It is characterized by comprising.

본 발명은 탐지 대상 서버에 이진 파일 형태로 컴파일된 별도의 웹쉘 탐지 어플리케이션을 설치하지 않고, 원격에서 탐지 대상 서버에서 수집된 정보를 이용해 탐지 대상 서버가 웹쉘에 감염되었는지 탐지함으로써 탐지 대상 서버에서 프로세싱(processing) 중인 다른 어플리케이션과 충돌 가능성이 전혀 없고, 탐지 대상 서버 운영측에서 웹쉘 탐지를 위한 별도의 관리 인력이 필요하지 않고, 탐지 대상 서버에 웹쉘로 인한 사고 발생시 원격에서 웹쉘을 통합 관리하는 전문적인 관리자에 의해 신속한 대응이 가능한 효과가 있다.The present invention does not install a separate web shell detection application compiled in the form of a binary file on the detection server, and detects whether the detection server is infected with the web shell using information collected from the detection server remotely, thereby processing the detection server by processing ( There is no possibility of conflict with other applications in the process of processing, there is no need for separate management personnel for detecting webshell on the server side of the detection server, and professional administrator who manages the webshell remotely in case of an accident caused by the webshell on the server to be detected. There is an effect that can be quickly responded.

도 1 은 본 발명에 따른 웹쉘 탐지/대응 시스템이 적용된 네트워크 개요도이다.
도 2 는 본 발명에 따른 웹쉘 탐지/대응 시스템의 일 실시예의 구성을 도시한 블럭도이다.
도 3 은 탐지 대상 서버의 웹페이지 홈 경로내에 삽입되어 탐지 대상 서버로부터 정보를 수집하는 정보 수집 스크립트의 일 실시예의 구성을 도시한 블럭도이다.
도 4 는 본 발명에 따른 웹쉘 탐지/대응 시스템의 웹쉘 탐지 동작의 일 예를 도시한 흐름도이다.1 is a network overview of the web shell detection / response system according to the present invention.
Figure 2 is a block diagram showing the configuration of one embodiment of a web shell detection / response system according to the present invention.
3 is a block diagram showing the configuration of an embodiment of an information collection script inserted into a web page home path of a detection target server to collect information from the detection target server.
4 is a flowchart illustrating an example of a web shell detection operation of a web shell detection / correspondence system according to the present invention.

이하, 첨부된 도면을 참조하여 기술되는 바람직한 실시예를 통하여 본 발명을 당업자가 용이하게 이해하고 재현할 수 있도록 상세히 기술하기로 한다.DETAILED DESCRIPTION OF THE PREFERRED EMBODIMENTS Reference will now be made in detail to embodiments of the present invention, examples of which are illustrated in the accompanying drawings, wherein like reference numerals refer to the like elements throughout.

본 발명을 설명함에 있어 관련된 공지 기능 또는 구성에 대한 구체적인 설명이 본 발명 실시예들의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우에는 그 상세한 설명을 생략할 것이다.In the following description of the present invention, a detailed description of known functions and configurations incorporated herein will be omitted when it may make the subject matter of the present invention rather unclear.

본 발명 명세서 전반에 걸쳐 사용되는 용어들은 본 발명 실시예에서의 기능을 고려하여 정의된 용어들로서, 사용자 또는 운용자의 의도, 관례 등에 따라 충분히 변형될 수 있는 사항이므로, 이 용어들의 정의는 본 명세서 전반에 걸친 내용을 토대로 내려져야 할 것이다.The terms used throughout the specification of the present invention have been defined in consideration of the functions of the embodiments of the present invention and can be sufficiently modified according to the intentions and customs of the user or operator. It should be based on the contents of.

도 1 은 본 발명에 따른 웹쉘 탐지/대응 시스템이 적용된 네트워크 개요도이다. 도 1 에 도시한 바와 같이, 본 발명에 따른 웹쉘 탐지/대응 시스템(100)은 인터넷을 통해 적어도 하나의 탐지 대상 서버(200)와 연결된다. 각 탐지 대상 서버(200)의 웹페이지 홈 경로내에는 정보 수집 스크립트(300)가 삽입되어, 각 탐지 대상 서버(200)로부터 정보를 수집하여 웹쉘 탐지/대응 시스템(100)으로 전송한다.1 is a network overview of the web shell detection / response system according to the present invention. As shown in FIG. 1, the web shell detection / response system 100 according to the present invention is connected to at least one detection target server 200 through the Internet. An information collection script 300 is inserted into the web page home path of each detection target server 200 to collect information from each detection target server 200 and transmit the information to the web shell detection / response system 100.

웹쉘 탐지/대응 시스템(100)은 탐지 대상 서버(200)의 웹페이지 홈 경로내에 삽입되어 해당 탐지 대상 서버로부터 정보를 수집하는 정보 수집 스크립트(300)에 의해 주기적 또는 비주기적으로 수집되는 탐지 대상 서버의 웹페이지 구성 컨텐츠들 각각의 현재 해시정보와, 미리 저장된 탐지 대상 서버의 웹페이지 구성 컨텐츠들 각각의 무결성 해시정보를 비교하여 변조된 웹페이지 구성 컨텐츠를 검색한다.The webshell detection / response system 100 is inserted into a web page home path of the detection target server 200 and is detected or collected periodically or aperiodically by an information collection script 300 that collects information from the detection target server. Compares the current hash information of each of the web page configuration contents of the web page with the integrity hash information of each of the web page configuration contents of the detection target server in advance, and searches for modulated web page configuration contents.

그리고, 웹쉘 탐지/대응 시스템(100)은 정보 수집 스크립트(300)를 통해 탐지 대상 서버(200)로부터 변조된 웹페이지 구성 컨텐츠 파일을 수신하고, 변조된 웹페이지 구성 컨텐츠 파일에 대한 웹쉘 특징 패턴(Webshell Signature Pattern) 분석을 수행하여 해당 탐지 대상 서버가 웹쉘(Webshell)에 감염되었는지 탐지한다.Then, the web shell detection / response system 100 receives the modified web page configuration content file from the detection target server 200 through the information collection script 300, and the web shell feature pattern for the modified web page configuration content file ( Perform Webshell Signature Pattern analysis to detect whether the target server is infected by Webshell.

이에 따라, 본 발명은 탐지 대상 서버에 이진 파일 형태로 컴파일된 별도의 웹쉘 탐지 어플리케이션을 설치하지 않고, 원격에서 탐지 대상 서버에서 수집된 정보를 이용해 탐지 대상 서버가 웹쉘에 감염되었는지 탐지함으로써 탐지 대상 서버에서 프로세싱(processing) 중인 다른 어플리케이션과 충돌 가능성이 전혀 없고, 탐지 대상 서버 운영측에서 웹쉘 탐지를 위한 별도의 관리 인력이 필요하지 않고, 탐지 대상 서버에 웹쉘로 인한 사고 발생시 원격에서 웹쉘을 통합 관리하는 전문적인 관리자에 의해 신속한 대응이 가능해진다.Accordingly, the present invention does not install a separate web shell detection application compiled in the form of a binary file on the detection target server, and detects whether the detection target server is infected with the web shell by using information collected from the detection target server remotely. There is no possibility of conflict with other applications that are being processed in the system, no separate management personnel for web shell detection are required on the server operating side of the target server, and the integrated web shell is managed remotely in case of an accident caused by the web shell on the target server. Quick response is possible by professional manager.

도 2 는 본 발명에 따른 웹쉘 탐지/대응 시스템의 일 실시예의 구성을 도시한 블럭도이다. 도 2 에 도시한 바와 같이, 이 실시예에 따른 웹쉘 탐지/대응 시스템(100)은 스크립트 연동부(110)와, DB 관리부(120)와, 정보 분석부(130)를 포함하여 이루어진다.Figure 2 is a block diagram showing the configuration of one embodiment of a web shell detection / response system according to the present invention. As shown in FIG. 2, the web shell detection / corresponding system 100 according to this embodiment includes a script interlocking unit 110, a DB managing unit 120, and an information analyzing unit 130.

상기 스크립트 연동부(110)는 탐지 대상 서버(200)의 웹페이지 홈 경로내에 삽입되어 해당 탐지 대상 서버로부터 정보를 수집하는 정보 수집 스크립트(300)와의 연동을 처리한다.The script interworking unit 110 is inserted into the web page home path of the detection target server 200 to process the linkage with the information collection script 300 that collects information from the detection target server.

예컨대, 상기 스크립트 연동부(110)가 주기적 또는 비주기적으로 정보 수집 스크립트(300)와 소켓(Socket) 통신을 수행하여 웹쉘 탐지/대응 시스템(100)이 정보 수집 스크립트(300)와 연동되도록 구현될 수 있다. 정보 수집 스크립트(300)의 구체적인 구성은 추후 설명한다.For example, the script interlocking unit 110 performs socket communication with the information collection script 300 periodically or aperiodically, so that the web shell detection / corresponding system 100 may be interworked with the information collection script 300. Can be. The detailed configuration of the information collection script 300 will be described later.

한편, 스크립트 연동부(110)가 탐지 대상 서버(200)의 활성 또는 비활성 상태를 검사하고, 해당 탐지 대상 서버(200)가 활성 상태인 경우 정보 분석부(130)로 변조된 웹페이지 구성 컨텐츠 검색을 요청하도록 구현될 수도 있다. On the other hand, the script interlocking unit 110 checks the active or inactive state of the detection target server 200, and if the detection target server 200 is active, the web page configuration content search modulated by the information analyzer 130. It may be implemented to request.

만약, 상기 탐지 대상 서버가 비활성 상태인 경우, 상기 스크립트 연동부(110)가 해당 탐지 대상 서버 접속 실패 로그를 저장하도록 구현될 수도 있다. 탐지 대상 서버 접속 실패 로그에는 탐지 대상 서버의 식별정보, 탐지 대상 서버의 IP 주소, 접속 시도 일시 등이 기록될 수 있다.If the detection target server is in an inactive state, the script interlocking unit 110 may be configured to store a corresponding detection target server access failure log. In the detection target server access failure log, identification information of the detection target server, an IP address of the detection target server, and a connection attempt date and time may be recorded.

상기 DB 관리부(120)는 탐지 대상 서버(200)의 웹페이지 구성 컨텐츠들 각각의 무결성 해시정보를 데이터베이스에 미리 저장하여 관리한다. 예컨대, 정보 수집 스크립트(300)에 의해 탐지 대상 서버(200)로부터 최초 정보 수집시, 상기 DB 관리부(120)가 해당 탐지 대상 서버의 웹페이지 구성 컨텐츠들 각각의 무결성 해시정보를 탐지 대상 서버(200)로부터 수신하여 데이터베이스에 저장함으로써 탐지 대상 서버(200)의 웹페이지 구성 컨텐츠들 각각의 무결성 해시정보가 웹쉘 탐지/대응 시스템(100)에 등록되도록 구현될 수 있다.The DB manager 120 stores and manages the integrity hash information of the web page configuration contents of the detection target server 200 in a database in advance. For example, when collecting the first information from the detection target server 200 by the information collection script 300, the DB management unit 120 detects the integrity hash information of each of the web page configuration contents of the detection target server 200 By receiving the information stored in the database, the Hash information of the web page configuration contents of the detection target server 200 may be registered in the web shell detection / corresponding system 100.

상기 정보 분석부(130)는 상기 스크립트 연동부(110)에 의해 연동된 정보 수집 스크립트(300)에 의해 주기적 또는 비주기적으로 수집되는 탐지 대상 서버(200)의 웹페이지 구성 컨텐츠들 각각의 현재 해시정보와, 상기 DB 관리부에 의해 저장된 탐지 대상 서버의 웹페이지 구성 컨텐츠들 각각의 무결성 해시정보를 비교하여 변조된 웹페이지 구성 컨텐츠를 검색한다.The information analysis unit 130 is a current hash of each of the web page configuration content of the detection target server 200 collected periodically or aperiodically by the information collection script 300 linked by the script linkage unit 110. Information and the integrity hash information of each of the web page configuration contents of the detection target server stored by the DB manager are compared to search for the modified web page configuration contents.

이 때, 상기 무결성 해시정보 및 정보 수집 스크립트(300)에 의해 주기적 또는 비주기적으로 수집되는 현재 해시정보가 탐지 대상 서버의 암호화 개인키(Private Key) 등과 같은 탐지 대상 서버 식별정보, 웹페이지 구성 컨텐츠 파일을 특정의 해시함수(Hash Function)의 시드값으로 하여 산출된 웹페이지 구성 컨텐츠 파일의 해시값, 웹페이지 구성 컨텐츠 파일이 저장된 경로 깊이(Depth), 웹페이지 구성 컨텐츠 파일명, 웹페이지 구성 컨텐츠 파일이 저장된 경로명, 웹페이지 구성 컨텐츠 파일의 실행권한, 웹페이지 구성 컨텐츠 파일의 최종수정일, 웹페이지 구성 컨텐츠 파일의 등록일 등을 포함할 수 있다.At this time, the current hash information collected periodically or aperiodically by the integrity hash information and the information collection script 300 includes detection target server identification information such as encryption private key of the detection target server, web page configuration content, and the like. The hash value of the web page configuration content file, the path depth where the web page configuration content file is stored, the web page configuration content file name, and the web page configuration content file calculated using the file as a seed of a specific hash function. The stored path name, the execution right of the webpage configuration content file, the last modification date of the webpage configuration content file, the registration date of the webpage configuration content file, and the like.

즉, 미리 저장된 탐지 대상 서버의 웹페이지 구성 컨텐츠들 각각의 무결성 해시정보와 정보 수집 스크립트(300)에 의해 주기적 또는 비주기적으로 수집되는 탐지 대상 서버의 웹페이지 구성 컨텐츠들 각각의 현재 해시정보가 서로 상이한 탐지 대상 서버의 웹페이지 구성 컨텐츠들은 변조된 컨텐츠들이므로, 상기 정보 분석부(130)를 통해 변조된 웹페이지 구성 컨텐츠를 검색할 수 있다.In other words, the integrity hash information of the webpage configuration contents of the detection target server stored in advance and the current hash information of the webpage configuration contents of the detection target server periodically or aperiodically collected by the information collection script 300 are mutually different. Since the web page composition contents of different detection target servers are modulated contents, the modified web page composition contents may be searched through the information analyzer 130.

예컨대, 탐지 대상 서버의 웹페이지 구성 컨텐츠의 무결성 해시정보와 현재 해시정보에 포함된 탐지 대상 서버 식별정보가 상이하거나, 웹페이지 구성 컨텐츠 파일의 해시값이 상이하거나, 웹페이지 구성 컨텐츠 파일이 저장된 경로 깊이(Depth)가 상이하거나, 웹페이지 구성 컨텐츠 파일명이 상이하거나, 웹페이지 구성 컨텐츠 파일이 저장된 경로명이 상이하거나, 웹페이지 구성 컨텐츠 파일의 실행권한이 상이하거나, 웹페이지 구성 컨텐츠 파일의 최종수정일이 상이하거나, 웹페이지 구성 컨텐츠 파일의 등록일이 상이하다고 판단될 경우, 상기 정보 분석부(130)가 해당 웹페이지 구성 컨텐츠를 변조된 것으로 판단할 수 있다.For example, the integrity hash information of the webpage configuration content of the detection target server and the detection target server identification information included in the current hash information are different, the hash value of the webpage configuration content file is different, or the path where the webpage configuration content file is stored. Different depth, different web page configuration content file name, different path name where web page configuration content file is stored, different execution authority of web page configuration content file, or last modified date of web page configuration content file When it is determined that the information is different or the registration date of the webpage configuration content file is different, the information analyzer 130 may determine that the webpage configuration content is modified.

한편, 발명의 부가적인 양상에 따르면, 상기 정보 분석부(130)가 변조된 웹페이지 구성 컨텐츠 파일 전송을 정보 수집 스크립트(300)로 요청하여 탐지 대상 서버(200)로부터 변조된 웹페이지 구성 컨텐츠 파일을 수신하도록 구현될 수 있다.Meanwhile, according to an additional aspect of the present invention, the information analysis unit 130 requests the information collection script 300 to transmit the modulated webpage configuration content file, thereby modulating the webpage configuration content file from the detection target server 200. It can be implemented to receive.

변조된 웹페이지 구성 컨텐츠가 검색되면, 변조된 웹페이지 구성 컨텐츠가 공격자에 의해 악의적으로 추가 또는 변경된 웹쉘(Webshell)인지 아니면, 웹쉘이 아니라 정당하게 변경된 것인지에 대한 분석이 필요하다. When the tampered webpage composition content is retrieved, it is necessary to analyze whether the tampered webpage composition content is a webshell that is maliciously added or changed by an attacker or whether it is properly changed, not the webshell.

이를 위해 상기 정보 분석부(130)가 변조된 웹페이지 구성 컨텐츠 파일 전송을 정보 수집 스크립트(300)로 요청하면, 정보 수집 스크립트(300)는 탐지 대상 서버(200)로부터 변조된 웹페이지 구성 컨텐츠 파일을 검색해 변조된 웹페이지 구성 컨텐츠 파일을 웹쉘 탐지/대응 시스템(100)으로 전송하고, 웹쉘 탐지/대응 시스템(100)은 정보 분석부(130)를 통해 변조된 웹페이지 구성 컨텐츠 파일을 수신한다.To this end, when the information analyzer 130 requests the information collection script 300 to transmit the modulated webpage configuration content file, the information collection script 300 modulates the webpage configuration content file from the detection target server 200. Search for and transmit the modulated webpage configuration content file to the webshell detection / response system 100, and the webshell detection / response system 100 receives the modulated webpage configuration content file through the information analyzer 130.

한편, 발명의 부가적인 양상에 따르면, 상기 정보 분석부(130)가 탐지 대상 서버(200)로부터 수신된 변조된 웹페이지 구성 컨텐츠 파일에 대한 웹쉘 특징 패턴(Webshell Signature Pattern) 분석을 수행하여 해당 탐지 대상 서버(200)가 웹쉘(Webshell)에 감염되었는지 탐지하도록 구현될 수 있다.On the other hand, according to an additional aspect of the invention, the information analysis unit 130 performs a webshell signature pattern analysis of the modulated webpage configuration content file received from the detection target server 200 to detect the corresponding It may be implemented to detect whether the target server 200 is infected with a webshell.

예컨대, 웹쉘 탐지/대응 시스템(100)이 미리 웹쉘 특징 패턴(Webshell Signature Pattern)들을 데이터베이스에 저장하고, 탐지 대상 서버(200)로부터 수신된 변조된 웹페이지 구성 컨텐츠 파일이 데이터베이스에 저장된 웹쉘 특징 패턴(Webshell Signature Pattern)을 포함하고 있는지 검사하여 해당 탐지 대상 서버(200)가 웹쉘(Webshell)에 감염되었는지 탐지하도록 구현될 수 있다.For example, the webshell detection / response system 100 previously stores the webshell signature patterns in a database, and the modulated webpage configuration content file received from the detection target server 200 is stored in the database. It may be implemented to detect whether the corresponding detection target server 200 is infected by a webshell by checking whether the webshell signature pattern is included.

한편, 발명의 부가적인 양상에 따르면, 상기 웹쉘 탐지/대응 시스템(100)이 대응 관리부(140)를 더 포함할 수 있다. 상기 대응 관리부(140)는 상기 정보 분석부(130)에 의해 탐지 대상 서버가 웹쉘(Webshell)에 감염되었다 판단된 경우, 해당 탐지 대상 서버 담당자에게 경고를 수행한다.On the other hand, according to an additional aspect of the invention, the web shell detection / response system 100 may further include a response management unit 140. When it is determined by the information analyzer 130 that the detection target server is infected by the webshell, the corresponding management unit 140 warns the person in charge of the detection target server.

예컨대, 상기 대응 관리부(140)가 탐지 대상 서버 담당자의 e-메일 또는 SMS 등을 통해 해당 탐지 대상 서버가 웹쉘에 감염된 웹페이지 구성 컨텐츠 파일명, 웹쉘 식별정보 등을 포함하는 웹쉘 감염 리포트를 전송하여 해당 탐지 대상 서버가 웹쉘에 감염되었음을 통보하도록 구현될 수 있다.For example, the correspondence management unit 140 transmits a web shell infection report including a web page configuration content file name, web shell identification information, etc. of a web shell infected by the corresponding target server through an e-mail or an SMS of a person in charge of the detection target server. It can be implemented to notify that the detection target server is infected with the web shell.

한편, 발명의 부가적인 양상에 따르면, 상기 대응 관리부(140)가 상기 정보 분석부(130)에 의해 탐지 대상 서버가 웹쉘(Webshell)에 감염되지 않았다 판단된 경우, 웹페이지 구성 컨텐츠의 무결성 해시정보에 대한 업데이트를 요청하도록 구현될 수 있다.On the other hand, according to an additional aspect of the invention, when the response management unit 140 determines that the detection target server is not infected by the Webshell (Webshell) by the information analysis unit 130, integrity hash information of the web page configuration content It can be implemented to request an update to.

그러면, 상기 DB 관리부(120)가 상기 대응 관리부(140)로부터의 웹페이지 구성 컨텐츠의 무결성 해시정보에 대한 업데이트 요청에 따라, 상기 변조된 웹페이지 구성 컨텐츠의 현재 해시정보를 해당 웹페이지 구성 컨텐츠의 무결성 해시정보로 데이터베이스에 저장하여 웹페이지 구성 컨텐츠의 무결성 해시정보를 갱신한다.Then, in response to the DB manager 120 requesting an update on the integrity hash information of the web page configuration content from the corresponding manager 140, the DB manager 120 replaces the current hash information of the modified web page configuration content of the corresponding web page configuration content. The integrity hash information of web page composition contents is updated by storing it as a database with integrity hash information.

즉, 이 실시예는 변조된 웹페이지 구성 컨텐츠가 웹쉘에 감염되지 않고 정당하게 변조된 경우, 변조된 웹페이지 구성 컨텐츠의 무결성 해시정보가 변경되므로, 이 변경된 웹페이지 구성 컨텐츠의 무결성 해시정보를 해당 웹페이지 구성 컨텐츠의 새로운 무결성 해시정보로 갱신하기 위한 실시예이다.That is, in this embodiment, if the modified webpage composition content is not tampered with the web shell and duly tampered with, the integrity hash information of the modified webpage composition content is changed. An embodiment for updating with new integrity hash information of web page composition content.

한편, 발명의 부가적인 양상에 따르면, 상기 정보 수집 스크립트(300)가 변조된 웹페이지 구성 컨텐츠 파일을 인코딩(Encoding)하여 전송하고, 이를 수신한 웹쉘 탐지/대응 시스템(100)의 정보 분석부(130)가 인코딩된 변조된 웹페이지 구성 컨텐츠 파일을 디코딩(Decoding)하여 웹쉘 감염 여부를 분석하도록 구현될 수도 있다.Meanwhile, according to an additional aspect of the present invention, the information collection script 300 encodes and transmits a modulated webpage configuration content file, and receives the information analysis unit of the webshell detection / response system 100 (received). 130 may be implemented to decode the encoded modulated webpage configuration content file to analyze whether the webshell is infected.

한편, 발명의 부가적인 양상에 따르면, 상기 정보 분석부(130)가 변조된 웹페이지 구성 컨텐츠 파일에 대한 웹쉘 특징 패턴(Webshell Signature Pattern) 분석 수행 결과로서, 웹쉘(Webshell) 탐지 로그를 저장하도록 구현될 수도 있다. 웹쉘 탐지 로그에는 탐지 대상 서버의 식별정보, 탐지 대상 서버의 IP 주소, 분석 일시 등이 기록될 수 있다.Meanwhile, according to an additional aspect of the present invention, the information analyzer 130 is configured to store a webshell detection log as a result of performing a webshell signature pattern analysis on the modulated webpage configuration content file. May be In the webshell detection log, identification information of the detection target server, IP address of the detection target server, and analysis date and time may be recorded.

한편, 발명의 부가적인 양상에 따르면, 웹쉘 탐지/대응 시스템(100)의 스크립트 연동부(110)와, DB 관리부(120)와, 정보 분석부(130) 및 대응 관리부(140)가 물리적 또는 논리적으로 하나의 서버 개체로 구현될 수도 있고, 또는 그 각각이 물리적 또는 논리적으로 분산되는 복수의 서버 개체들로 구현될 수도 있다. On the other hand, according to an additional aspect of the invention, the script interlocking unit 110, the DB management unit 120, the information analysis unit 130 and the corresponding management unit 140 of the web shell detection / response system 100 is physical or logical It may be implemented as a single server entity, or may be implemented as a plurality of server entities, each of which is physically or logically distributed.

따라서, 이와 같이 구현함에 의해 본 발명은 탐지 대상 서버에 이진 파일 형태로 컴파일된 별도의 웹쉘 탐지 어플리케이션을 설치하지 않고, 원격에서 탐지 대상 서버에서 수집된 정보를 이용해 탐지 대상 서버가 웹쉘에 감염되었는지 탐지함으로써 탐지 대상 서버에서 프로세싱(processing) 중인 다른 어플리케이션과 충돌 가능성이 전혀 없고, 탐지 대상 서버 운영측에서 웹쉘 탐지를 위한 별도의 관리 인력이 필요하지 않고, 탐지 대상 서버에 웹쉘로 인한 사고 발생시 원격에서 웹쉘을 통합 관리하는 전문적인 관리자에 의해 신속한 대응이 가능하다.Therefore, by implementing in this way, the present invention does not install a separate webshell detection application compiled in binary form on the detection server, and detects whether the detection server is infected by the webshell using information collected from the detection server remotely. There is no possibility of conflict with other applications processing on the server to be detected, there is no need for separate management personnel for web shell detection on the server side of the server to be detected, and a web shell remotely when an accident occurs due to a web shell on the server to be detected. Quick response is possible by the professional manager who manages the system.

도 3 은 탐지 대상 서버의 웹페이지 홈 경로내에 삽입되어 탐지 대상 서버로부터 정보를 수집하는 정보 수집 스크립트의 일 실시예의 구성을 도시한 블럭도이다. 도 3 에 도시한 바와 같이, 정보 수집 스크립트(300)는 장치 연동부(310)와, 해시정보 처리부(320)와, 파일 처리부(330)를 포함하여 이루어진다.FIG. 3 is a block diagram showing the configuration of an embodiment of an information collection script inserted into a web page home path of a detection target server to collect information from the detection target server. As shown in FIG. 3, the information collection script 300 includes a device interworking unit 310, a hash information processing unit 320, and a file processing unit 330.

상기 장치 연동부(310)는 웹쉘 탐지/대응 시스템(100)과 연동된다. 예컨대, 상기 장치 연동부(310)가 웹쉘 탐지/대응 시스템(100)으로부터의 요청에 따라, 주기적 또는 비주기적으로 웹쉘 탐지/대응 시스템(100)과 소켓(Socket) 통신을 수행하여 웹쉘 탐지/대응 시스템(100)과 연동되도록 구현될 수 있다. The device linkage unit 310 is linked with the web shell detection / response system 100. For example, the device interworking unit 310 performs socket communication with the web shell detection / response system 100 periodically or aperiodically in response to a request from the web shell detection / response system 100, thereby detecting / responding the web shell. It may be implemented to work with the system 100.

소켓(Socket) 통신은 네트워크로 연결되어 있는 두 컴퓨터의 통신 접점에 위치하는 통신 객체인 소켓(Socket)을 생성하고, 이 소켓을 통해서 서로 데이터를 교환하는 방식으로, 한쪽에서 보낸 신호를 다른 쪽에서 받으면 연결이 성립되고, 그 후 데이터를 주고 받으며, 신뢰성이 보장되는 IP 프로토콜의 TCP 패킷 또는 신뢰성이 보장되지 않는 IP 프로토콜의 UDP 패킷을 이용해 데이터를 주고받을 수 있다.Socket communication creates a socket, a communication object located at the communication point of two computers connected by a network, and exchanges data with each other through this socket. A connection is established, and then data is transmitted and received, and data can be transmitted and received using TCP packets of the IP protocol, which is guaranteed, or UDP packets of the IP protocol, which are not guaranteed.

상기 해시정보 처리부(320)는 탐지 대상 서버(200)의 웹페이지 홈 경로내의 모든 웹페이지 구성 컨텐츠 파일에 대한 현재 해시정보를 생성하여 상기 장치 연동부에 의해 연동된 웹쉘 탐지/대응 시스템으로 전송한다.The hash information processing unit 320 generates current hash information of all web page configuration content files in the web page home path of the detection target server 200 and transmits the current hash information to the web shell detection / corresponding system interworked by the device interworking unit. .

예컨대, 현재 해시정보가 탐지 대상 서버 식별정보, 웹페이지 구성 컨텐츠 파일의 해시값, 웹페이지 구성 컨텐츠 파일이 저장된 경로 깊이(Depth), 웹페이지 구성 컨텐츠 파일명, 웹페이지 구성 컨텐츠 파일이 저장된 경로명, 웹페이지 구성 컨텐츠 파일의 실행권한, 웹페이지 구성 컨텐츠 파일의 최종수정일, 웹페이지 구성 컨텐츠 파일의 등록일 등을 포함할 수 있다.For example, the current hash information is detected server identification information, the hash value of the web page configuration content file, the path depth where the web page configuration content file is stored, the web page configuration content file name, the path name where the web page configuration content file is stored, and the web. The execution right of the page configuration content file, the last modification date of the webpage configuration content file, and the registration date of the webpage configuration content file may be included.

상기 해시정보 처리부(320)는 탐지 대상 서버의 웹페이지 홈 경로내의 모든 웹페이지 구성 컨텐츠 파일들에 대한 해시값, 저장된 경로 깊이(Depth), 파일명, 경로명, 실행권한, 최종수정일, 등록일을 파악하고, 이에 해당 탐지 대상 서버의 식별정보를 추가하여 탐지 대상 서버(200)의 웹페이지 구성 컨텐츠 파일들 각각에 대한 현재 해시정보를 생성한다.The hash information processing unit 320 grasps hash values, stored path depths, file names, path names, execution rights, last modified dates, and registered dates of all web page configuration content files in the web page home path of the detection target server. In addition, the identification information of the corresponding detection target server is added to generate current hash information for each of the webpage configuration content files of the detection target server 200.

이 때, 탐지 대상 서버(200)의 웹페이지 구성 컨텐츠 파일들 각각의 현재 해시정보가 최초로 생성된 경우, 이 최초 생성된 웹페이지 구성 컨텐츠 파일들 각각의 현재 해시정보가 탐지 대상 서버(200)의 웹페이지 구성 컨텐츠들 각각의 무결성 해시정보가 될 수 있다.At this time, when the current hash information of each of the web page configuration content files of the detection target server 200 is generated for the first time, the current hash information of each of the first generated web page configuration content files is generated from the detection target server 200. Integrity hash information of each of the web page composition contents may be used.

상기 파일 처리부(330)는 상기 장치 연동부(310)에 의해 연동된 웹쉘 탐지/대응 시스템으로부터의 변조된 웹페이지 구성 컨텐츠 파일 전송 요청에 따라, 탐지 대상 서버(200)의 웹페이지 홈 경로내의 변조된 웹페이지 구성 컨텐츠 파일을 웹쉘 탐지/대응 시스템으로 전송한다.The file processing unit 330 modulates the web page home path of the detection target server 200 in response to a request for transmitting a modified webpage configuration content file from the webshell detection / corresponding system interworked by the device interworking unit 310. The generated webpage configuration content file to the webshell detection / response system.

위에서 설명했듯이, 웹쉘 탐지/대응 시스템(100)에 의해 변조된 웹페이지 구성 컨텐츠가 검색되면, 변조된 웹페이지 구성 컨텐츠가 공격자에 의해 악의적으로 추가 또는 변경된 웹쉘(Webshell)인지 정당하게 변경된 것인지에 대한 분석이 필요하고, 웹쉘 탐지/대응 시스템(100)은 정보 분석부(130)를 통해 변조된 웹페이지 구성 컨텐츠 파일 전송을 정보 수집 스크립트(300)로 요청한다.As described above, when the webpage configuration content that has been tampered by the webshell detection / response system 100 is retrieved, an analysis of whether the webpage configuration content that has been tampered with by the attacker is a webshell or legitimately changed. In this case, the web shell detection / response system 100 requests the information collection script 300 to transmit the modified webpage configuration content file through the information analysis unit 130.

그러면, 정보 수집 스크립트(300)의 파일 처리부(330)가 탐지 대상 서버(200)의 웹페이지 홈 경로에서 변조된 웹페이지 구성 컨텐츠 파일을 검색하고, 변조된 웹페이지 구성 컨텐츠 파일을 웹쉘 탐지/대응 시스템(100)으로 전송한다. 그러면, 웹쉘 탐지/대응 시스템(100)은 정보 분석부(130)를 통해 변조된 웹페이지 구성 컨텐츠 파일을 수신하고, 변조된 웹페이지 구성 컨텐츠가 공격자에 의해 악의적으로 추가 또는 변경된 웹쉘(Webshell)인지 아니면, 웹쉘이 아니라 정당하게 변경된 것인지에 대한 분석을 수행한다.Then, the file processing unit 330 of the information collection script 300 retrieves the modified webpage configuration content file from the webpage home path of the detection target server 200 and detects / responses the modified webpage configuration content file to the webshell. To the system 100. Then, the webshell detection / response system 100 receives the modified webpage configuration content file through the information analysis unit 130 and checks whether the modified webpage configuration content is a webshell that is maliciously added or changed by an attacker. Otherwise, it analyzes whether the change was legitimate, not the webshell.

이상에서 설명한 바와 같은 본 발명에 따른 웹쉘 탐지/대응 시스템의 웹쉘 탐지 절차를 도 4 를 참조하여 알아본다. 도 4 는 본 발명에 따른 웹쉘 탐지/대응 시스템의 웹쉘 탐지 동작의 일 예를 도시한 흐름도이다. The web shell detection procedure of the web shell detection / response system according to the present invention as described above will be described with reference to FIG. 4. 4 is a flowchart illustrating an example of a web shell detection operation of a web shell detection / correspondence system according to the present invention.

설명에 앞서, 탐지 대상 서버의 웹페이지 홈 경로내에 해당 탐지 대상 서버로부터 정보를 수집하는 정보 수집 스크립트가 삽입되고, 탐지 대상 서버의 웹페이지 구성 컨텐츠들 각각의 무결성 해시정보 및 웹쉘 특징 패턴(Webshell Signature Pattern)들이 미리 웹쉘 탐지/대응 시스템에 저장되었다 가정한다.Prior to the description, an information collection script for inserting information from the target server is inserted in the web page home path of the target server, and the integrity hash information and the webshell characteristic pattern of each of the web page configuration contents of the target server are inserted. Patterns are pre-stored in the webshell detection / response system.

먼저, 단계 410에서 웹쉘 탐지/대응 시스템이 주기적 또는 비주기적으로 탐지 대상 서버로부터 정보를 수집하는 정보 수집 스크립트와 연동된다. 웹쉘 탐지/대응 시스템의 정보 수집 스크립트 연동과 관련해서는 기 설명하였으므로, 중복 설명은 생략한다.First, in step 410 the web shell detection / response system is linked with the information collection script to collect information from the server to be detected periodically or aperiodic. Since the information collection script integration of the web shell detection / response system has been described above, duplicate description thereof will be omitted.

상기 단계 410에 의해 웹쉘 탐지/대응 시스템과 정보 수집 스크립트간이 연동되면, 단계 420에서 웹쉘 탐지/대응 시스템이 정보 수집 스크립트를 통해 탐지 대상 서버의 웹페이지 구성 컨텐츠들 각각의 현재 해시정보를 수신한다. 탐지 대상 서버의 웹페이지 구성 컨텐츠들 각각의 현재 해시정보 생성 및 전송과 관련해서는 기 설명하였으므로, 중복 설명은 생략한다.When the webshell detection / response system and the information collection script are interlocked by the step 410, the webshell detection / response system receives the current hash information of each of the web page configuration contents of the detection target server through the information collection script in step 420. Since the present hash information generation and transmission of each of the web page configuration contents of the detection target server has been described above, duplicate description thereof will be omitted.

상기 단계 420에 의해 탐지 대상 서버의 웹페이지 구성 컨텐츠들 각각의 현재 해시정보가 수신되면, 단계 430에서 웹쉘 탐지/대응 시스템이 수신된 탐지 대상 서버의 웹페이지 구성 컨텐츠들 각각의 현재 해시정보와, 미리 저장된 탐지 대상 서버의 웹페이지 구성 컨텐츠들 각각의 무결성 해시정보를 비교하여 변조된 웹페이지 구성 컨텐츠를 검색한다. 변조된 웹페이지 구성 컨텐츠 검색과 관련해서는 기 설명하였으므로, 중복 설명은 생략한다.When the current hash information of each of the web page configuration contents of the detection target server is received in step 420, the current hash information of each of the web page configuration contents of the detection target server received by the webshell detection / corresponding system in step 430; It compares the integrity hash information of each of the webpage configuration contents of the detection target server stored in advance and retrieves the modified webpage configuration contents. Since the retrieval of the modified web page structured content has been described above, duplicate description thereof will be omitted.

상기 단계 430에 의해 변조된 웹페이지 구성 컨텐츠 파일이 검색되면, 단계 440에서 웹쉘 탐지/대응 시스템이 변조된 웹페이지 구성 컨텐츠 파일 전송을 정보 수집 스크립트로 요청하여 수신한다.When the webpage configuration content file modulated by the step 430 is found, the webshell detection / response system requests and transmits the modified webpage configuration content file to the information collection script in step 440.

변조된 웹페이지 구성 컨텐츠 파일 전송 요청에 따라, 정보 수집 스크립트가 탐지 대상 서버의 웹페이지 홈 경로에서 변조된 웹페이지 구성 컨텐츠 파일을 검색하고, 변조된 웹페이지 구성 컨텐츠 파일을 웹쉘 탐지/대응 시스템으로 전송하고, 웹쉘 탐지/대응 시스템이 이를 수신한다.In response to a request to send a tampered webpage configuration content file, the information gathering script retrieves the tampered webpage configuration content file from the webpage home path of the detected server and transfers the tampered webpage configuration content file to the webshell detection / response system. The webshell detection / response system receives it.

변조된 웹페이지 구성 컨텐츠 파일을 수신한 웹쉘 탐지/대응 시스템은 단계 450에서 변조된 웹페이지 구성 컨텐츠가 공격자에 의해 악의적으로 추가 또는 변경된 웹쉘(Webshell)인지 정당하게 변경된 것인지에 대한 분석을 수행한다.Receiving the tampered webpage configuration content file, the webshell detection / corresponding system performs an analysis on whether the webpage configuration content that has been tampered with is modified by the attacker or is justly changed.

이 때, 변조된 웹페이지 구성 컨텐츠 파일이 미리 저장된 웹쉘 특징 패턴(Webshell Signature Pattern)들을 포함하는지 검색함에 의해 변조된 웹페이지 구성 컨텐츠가 공격자에 의해 악의적으로 추가 또는 변경된 웹쉘(Webshell)인지 정당하게 변경된 것인지 판단할 수 있다.At this time, the modified webpage configuration content file by searching whether the modified webpage configuration content file includes pre-stored Webshell Signature Patterns is properly changed whether the webpage configuration content is a webshell that has been maliciously added or changed by an attacker. Can be determined.

만약, 단계 450에 의한 판단 결과, 탐지 대상 서버가 웹쉘(Webshell)에 감염되었다 판단된 경우에는, 단계 460에서 웹쉘 탐지/대응 시스템이 해당 탐지 대상 서버 담당자에게 경고를 수행한다. 웹쉘(Webshell)에 감염시 경고를 수행하는 것과 관련해서는 기 설명하였으므로, 중복 설명은 생략한다. If it is determined in step 450 that the detection target server is infected with a webshell, the webshell detection / response system alerts the person in charge of the detection target server in step 460. Since the warning about webshell infection is described above, duplicate description is omitted.

한편, 단계 450에 의한 판단 결과, 탐지 대상 서버가 웹쉘(Webshell)에 감염되지 않았다 판단된 경우에는, 단계 470에서 웹쉘 탐지/대응 시스템이 웹페이지 구성 컨텐츠의 무결성 해시정보에 대한 업데이트를 수행한다. 웹페이지 구성 컨텐츠의 무결성 해시정보 업데이트와 관련해서는 기 설명하였으므로, 중복 설명은 생략한다.On the other hand, if it is determined in step 450 that the server to be detected is not infected with the webshell, the webshell detection / corresponding system updates the integrity hash information of the webpage configuration content in step 470. Since the integrity hash information update of the webpage composition content has been described above, duplicate description thereof will be omitted.

따라서, 이와 같이 구현함에 의해 본 발명은 탐지 대상 서버에 이진 파일 형태로 컴파일된 별도의 웹쉘 탐지 어플리케이션을 설치하지 않고, 원격에서 탐지 대상 서버에서 수집된 정보를 이용해 탐지 대상 서버가 웹쉘에 감염되었는지 탐지함으로써 탐지 대상 서버에서 프로세싱(processing) 중인 다른 어플리케이션과 충돌 가능성이 전혀 없고, 탐지 대상 서버 운영측에서 웹쉘 탐지를 위한 별도의 관리 인력이 필요하지 않고, 탐지 대상 서버에 웹쉘로 인한 사고 발생시 원격에서 웹쉘을 통합 관리하는 전문적인 관리자에 의해 신속한 대응이 가능하므로, 상기에서 제시한 본 발명의 목적을 달성할 수 있다.Therefore, by implementing in this way, the present invention does not install a separate webshell detection application compiled in binary form on the detection server, and detects whether the detection server is infected by the webshell using information collected from the detection server remotely. There is no possibility of conflict with other applications processing on the server to be detected, there is no need for separate management personnel for web shell detection on the server side of the server to be detected, and a web shell remotely when an accident occurs due to a web shell on the server to be detected. Since it is possible to quickly respond by a professional manager to integrate management, it is possible to achieve the object of the present invention presented above.

본 발명은 첨부된 도면에 의해 참조되는 바람직한 실시예를 중심으로 기술되었지만, 이러한 기재로부터 후술하는 특허청구범위에 의해 포괄되는 범위내에서 본 발명의 범주를 벗어남이 없이 다양한 변형이 가능하다는 것은 명백하다.While the present invention has been particularly shown and described with reference to exemplary embodiments thereof, it will be understood by those of ordinary skill in the art that various changes in form and details may be made therein without departing from the spirit and scope of the invention as defined by the appended claims. .

본 발명은 웹쉘(Webshell) 탐지 기술분야 및 이의 응용 기술분야에서 산업상으로 이용 가능하다.The present invention is industrially applicable in the Webshell detection art and its application art.

100 : 웹쉘 탐지/대응 시스템 110 : 스크립트 연동부
120 : DB 관리부 130 : 정보 분석부
140 : 대응 관리부 200 : 탐지 대상 서버
300 : 정보 수집 스크립트 310 : 장치 연동부
320 : 해시정보 처리부 330 : 파일 처리부100: web shell detection / response system 110: script linkage
120: DB management unit 130: information analysis unit
140: response management unit 200: detection target server
300: information collection script 310: device linkage
320: hash information processing unit 330: file processing unit

Claims (10)

탐지 대상 서버의 웹페이지 홈 경로내에 컴파일된 이진 바이너리 파일 형태가 아니라 스크립트 파일 형태로 삽입되어 해당 탐지 대상 서버로부터 정보를 수집하는 정보 수집 스크립트와의 연동을 처리하는 스크립트 연동부와;
탐지 대상 서버의 웹페이지 구성 컨텐츠들 각각의 무결성 해시정보를 데이터베이스에 미리 저장하여 관리하는 DB 관리부와;
상기 스크립트 연동부에 의해 연동된 정보 수집 스크립트에 의해 주기적 또는 비주기적으로 수집되는 탐지 대상 서버의 웹페이지 구성 컨텐츠들 각각의 현재 해시정보와, 상기 DB 관리부에 의해 저장된 탐지 대상 서버의 웹페이지 구성 컨텐츠들 각각의 무결성 해시정보를 비교하여 변조된 웹페이지 구성 컨텐츠를 검색하는 정보 분석부를;
포함하여 이루어지는 것을 특징으로 하는 웹쉘 탐지/대응 시스템.A script interlocking unit inserted in the form of a script file rather than a binary binary file compiled into a web page home path of the detection target server to process an interaction with an information collection script collecting information from the detection target server;
A DB manager which stores and stores integrity hash information of each of the web page configuration contents of the detection target server in a database;
Current hash information of each of the web page configuration contents of the detection target server collected periodically or aperiodically by the information collection script linked by the script linkage unit, and the web page configuration contents of the detection target server stored by the DB manager. An information analyzer configured to compare the respective pieces of integrity hash information and to search for the modulated web page composition content;
Web shell detection / response system comprising a. 제 1 항에 있어서,
상기 정보 분석부가:
변조된 웹페이지 구성 컨텐츠 파일 전송을 정보 수집 스크립트로 요청하여 탐지 대상 서버로부터 변조된 웹페이지 구성 컨텐츠 파일을 수신하는 것을 특징으로 하는 웹쉘 탐지/대응 시스템.The method of claim 1,
The information analysis unit:
A webshell detection / response system, characterized by receiving a tampered webpage configuration content file from a server to be detected by requesting an information collection script to transmit a tampered webpage configuration content file. 제 2 항에 있어서,
상기 정보 분석부가:
탐지 대상 서버로부터 수신된 변조된 웹페이지 구성 컨텐츠 파일에 대한 웹쉘 특징 패턴(Webshell Signature Pattern) 분석을 수행하여 해당 탐지 대상 서버가 웹쉘(Webshell)에 감염되었는지 탐지하는 것을 특징으로 하는 웹쉘 탐지/대응 시스템.3. The method of claim 2,
The information analysis unit:
Webshell detection / response system that detects whether the target server is infected by Webshell by performing Webshell Signature Pattern analysis on the tampered webpage configuration content file received from the target server . 제 3 항에 있어서,
상기 웹쉘 탐지/대응 시스템이:
상기 정보 분석부에 의해 탐지 대상 서버가 웹쉘(Webshell)에 감염되었다 판단된 경우, 해당 탐지 대상 서버 담당자에게 경고를 수행하는 대응 관리부를;
더 포함하는 것을 특징으로 하는 웹쉘 탐지/대응 시스템.The method of claim 3, wherein
The webshell detection / response system is:
A response manager configured to warn a person in charge of the detection target server when it is determined by the information analysis unit that the detection target server is infected with a webshell;
Webshell detection / response system further comprising. 제 4 항에 있어서,
상기 대응 관리부가:
상기 정보 분석부에 의해 탐지 대상 서버가 웹쉘(Webshell)에 감염되지 않았다 판단된 경우, 웹페이지 구성 컨텐츠의 무결성 해시정보에 대한 업데이트를 요청하는 것을 특징으로 하는 웹쉘 탐지/대응 시스템.5. The method of claim 4,
The correspondence management unit:
And if it is determined by the information analyzer that the detection target server is not infected with a webshell, requesting an update of the integrity hash information of the webpage configuration content. 제 5 항에 있어서,
상기 DB 관리부가:
상기 대응 관리부로부터의 웹페이지 구성 컨텐츠의 무결성 해시정보에 대한 업데이트 요청에 따라, 상기 변조된 웹페이지 구성 컨텐츠의 현재 해시정보를 해당 웹페이지 구성 컨텐츠의 무결성 해시정보로 데이터베이스에 저장하여 웹페이지 구성 컨텐츠의 무결성 해시정보를 갱신하는 것을 특징으로 하는 웹쉘 탐지/대응 시스템.The method of claim 5, wherein
The DB management unit:
In response to a request for updating the integrity hash information of the web page composition content from the corresponding management unit, the current hash information of the modulated web page composition content is stored in the database as the integrity hash information of the web page composition content, thereby storing the web page composition content. Web shell detection / response system, characterized in that for updating the integrity hash information of the. 제 1 항에 있어서,
상기 스크립트 연동부가:
탐지 대상 서버의 활성 또는 비활성 상태를 검사하고, 해당 탐지 대상 서버가 활성 상태인 경우 상기 정보 분석부로 변조된 웹페이지 구성 컨텐츠 검색을 요청하는 것을 특징으로 하는 웹쉘 탐지/대응 시스템.The method of claim 1,
The script linkage unit:
Checking the active or inactive state of the detection target server, and if the detection target server is active, the web shell detection / response system, characterized in that requesting the information analysis unit retrieves the modified web page configuration content. 제 7 항에 있어서,
상기 스크립트 연동부가:
상기 탐지 대상 서버가 비활성 상태인 경우, 해당 탐지 대상 서버 접속 실패 로그를 저장하는 것을 특징으로 하는 웹쉘 탐지/대응 시스템.The method of claim 7, wherein
The script linkage unit:
And when the detection target server is in an inactive state, storing the detection target server access failure log. 제 1 항 내지 제 8 항 중의 어느 한 항에 있어서,
상기 해시정보가:
탐지 대상 서버 식별정보, 웹페이지 구성 컨텐츠 파일의 해시값, 웹페이지 구성 컨텐츠 파일이 저장된 경로 깊이(Depth), 웹페이지 구성 컨텐츠 파일명, 웹페이지 구성 컨텐츠 파일이 저장된 경로명, 웹페이지 구성 컨텐츠 파일의 실행권한, 웹페이지 구성 컨텐츠 파일의 최종수정일, 웹페이지 구성 컨텐츠 파일의 등록일을 포함하는 것을 특징으로 하는 웹쉘 탐지/대응 시스템.9. The method according to any one of claims 1 to 8,
The hash information is:
Detected server identification information, hash value of webpage configuration content file, path depth where webpage configuration content file is stored, webpage configuration content file name, pathname where webpage configuration content file is stored, execution of webpage configuration content file Web shell detection / response system, characterized in that it includes a permission, the last modification date of the web page configuration content file, the registration date of the web page configuration content file. 제 1 항 내지 제 8 항 중의 어느 한 항에 있어서,
상기 정보 수집 스크립트가:
웹쉘 탐지/대응 시스템과 연동되는 장치 연동부와;
탐지 대상 서버의 웹페이지 홈 경로내의 모든 웹페이지 구성 컨텐츠 파일에 대한 현재 해시정보를 생성하여 상기 장치 연동부에 의해 연동된 웹쉘 탐지/대응 시스템으로 전송하는 해시정보 처리부와;
상기 장치 연동부에 의해 연동된 웹쉘 탐지/대응 시스템으로부터의 변조된 웹페이지 구성 컨텐츠 파일 전송 요청에 따라, 탐지 대상 서버의 웹페이지 홈 경로내의 변조된 웹페이지 구성 컨텐츠 파일을 웹쉘 탐지/대응 시스템으로 전송하는 파일 처리부를;
포함하여 이루어지는 것을 특징으로 하는 웹쉘 탐지/대응 시스템.9. The method according to any one of claims 1 to 8,
The above information collection script:
A device linking unit interworking with a web shell detection / corresponding system;
A hash information processing unit generating current hash information of all web page configuration content files in a web page home path of a detection target server and transmitting the generated hash information to a web shell detection / corresponding system linked by the device interworking unit;
In response to a request for transmitting a modulated webpage configuration content file from the webshell detection / response system interworked by the device interlocking unit, the webpage detection content response of the webpage configuration content file in the webpage home path of the server to be detected is transferred to the webshell detection / response system. A file processor for transmitting;
Web shell detection / response system comprising a.
KR1020130009330A 2013-01-28 2013-01-28 Webshell detection and corresponding system KR101291782B1 (en)

Priority Applications (4)

Application Number Priority Date Filing Date Title
KR1020130009330A KR101291782B1 (en) 2013-01-28 2013-01-28 Webshell detection and corresponding system
CN201310080172.XA CN103973664A (en) 2013-01-28 2013-03-13 Webshell detection and response system
US13/845,360 US8832834B2 (en) 2013-01-28 2013-03-18 Webshell detection and response system
JP2013060408A JP5410626B1 (en) 2013-01-28 2013-03-22 Web shell detection / support system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020130009330A KR101291782B1 (en) 2013-01-28 2013-01-28 Webshell detection and corresponding system

Publications (1)

Publication Number Publication Date
KR101291782B1 true KR101291782B1 (en) 2013-07-31

Family

ID=48998343

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020130009330A KR101291782B1 (en) 2013-01-28 2013-01-28 Webshell detection and corresponding system

Country Status (4)

Country Link
US (1) US8832834B2 (en)
JP (1) JP5410626B1 (en)
KR (1) KR101291782B1 (en)
CN (1) CN103973664A (en)

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105100065A (en) * 2015-06-26 2015-11-25 北京奇虎科技有限公司 Cloud-based webshell attack detection method, cloud-based webshell attack detection device and gateway
KR20160000358A (en) 2014-06-24 2016-01-04 에스케이인포섹(주) Webshell detection apparatus having a fuction of analyzing whether webshell detection is correct or not, and method for analyzing whether webshell detection is correct or not thereof
KR101865378B1 (en) * 2018-01-31 2018-06-07 주식회사 에프원시큐리티 Web shell detection system
KR20190048606A (en) * 2017-10-31 2019-05-09 대한민국(국방부 공군참모총장) Realtime Web Attack Detection Method
CN110162973A (en) * 2019-05-24 2019-08-23 新华三信息安全技术有限公司 A kind of Webshell file test method and device

Families Citing this family (26)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104394176B (en) * 2014-12-17 2018-05-08 中国人民解放军国防科学技术大学 A kind of webshell prevention methods based on mandatory Access Control Mechanism
CN105989284B (en) * 2015-02-10 2019-01-11 阿里巴巴集团控股有限公司 The recognition methods and equipment of homepage invasion script feature
CN104796426B (en) * 2015-04-29 2018-04-27 上海络安信息技术有限公司 The detection method at webpage back door
CN106301974A (en) * 2015-05-14 2017-01-04 阿里巴巴集团控股有限公司 A kind of website back door detection method and device
KR101650445B1 (en) * 2015-12-11 2016-08-23 주식회사 윈스 Apparatus and method for detecting webshell in real time using kernel-based file event notification function
CN106911686B (en) * 2017-02-20 2020-07-07 杭州迪普科技股份有限公司 WebShell detection method and device
CN107196929A (en) * 2017-05-11 2017-09-22 国网山东省电力公司信息通信公司 Suitable for the intelligent protecting method and its system under high frequency time network-combination yarn environment
CN107566371B (en) * 2017-09-05 2020-08-18 成都知道创宇信息技术有限公司 WebShell mining method for massive logs
CN107612925A (en) * 2017-10-12 2018-01-19 成都知道创宇信息技术有限公司 A kind of WebShell method for digging based on access behavioural characteristic
CN107911355B (en) * 2017-11-07 2020-05-01 杭州安恒信息技术股份有限公司 Website backdoor utilization event identification method based on attack chain
CN108040036A (en) * 2017-11-22 2018-05-15 江苏翼企云通信科技有限公司 A kind of industry cloud Webshell safety protecting methods
AU2019273972B2 (en) * 2018-05-21 2022-05-19 Nippon Telegraph And Telephone Corporation Determination method, determination device and determination program
CN109040071B (en) * 2018-08-06 2021-02-09 杭州安恒信息技术股份有限公司 Method for confirming WEB backdoor attack event
CN110798439B (en) * 2018-09-04 2022-04-19 国家计算机网络与信息安全管理中心 Method, equipment and storage medium for actively detecting internet-of-things botnet trojan
CN110427755A (en) * 2018-10-16 2019-11-08 新华三信息安全技术有限公司 A kind of method and device identifying script file
AU2018454814C1 (en) 2018-12-27 2022-08-18 Citrix Systems, Inc. Systems and methods for development of web products
CN109743311B (en) * 2018-12-28 2021-10-22 绿盟科技集团股份有限公司 WebShell detection method, device and storage medium
KR102382889B1 (en) * 2019-11-28 2022-04-05 네이버클라우드 주식회사 Method and system for detecting web shell using process information
CN115398861B (en) * 2020-05-07 2023-06-27 深圳市欢太科技有限公司 Abnormal file detection method and related product
CN113806742A (en) * 2020-06-15 2021-12-17 中国电信股份有限公司 WebShell detection device, WebShell detection method and computer-readable storage medium
US10933251B1 (en) 2020-06-17 2021-03-02 Jonathan M Borkum System for noninvasive pulsed magnetic induction heating of acupoints for the neurorehabilitation of stroke and brain injury, and for the prevention and treatment of dementia, age-related cognitive decline, and depression
CN112118089B (en) * 2020-09-18 2021-04-30 广州锦行网络科技有限公司 Webshell monitoring method and system
CN112668005A (en) * 2020-12-30 2021-04-16 北京天融信网络安全技术有限公司 Webshell file detection method and device
CN113225357B (en) * 2021-07-08 2021-09-17 北京搜狐新媒体信息技术有限公司 Evidence obtaining method and related device for webpage backdoor
CN114329462A (en) * 2021-11-22 2022-04-12 网宿科技股份有限公司 Malicious file detection method, device and equipment and readable storage medium
CN115174197B (en) * 2022-07-01 2024-03-29 阿里云计算有限公司 Webshell file detection method, system, electronic equipment and computer storage medium

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2009169490A (en) * 2008-01-11 2009-07-30 Fuji Xerox Co Ltd User attribute information management program, user attribute information confirmation program, user attribute information management device, user attribute information confirmation device, and user attribute information management system
KR101080953B1 (en) * 2011-05-13 2011-11-08 (주)유엠브이기술 System and method for detecting and protecting webshell in real-time
KR20130008119A (en) * 2011-07-11 2013-01-22 주식회사 잉카인터넷 Method of detecting file alteration

Family Cites Families (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2001331374A (en) * 2000-05-24 2001-11-30 Ntt Comware Corp Method and device for detecting homepage falsification
US8079080B2 (en) * 2005-10-21 2011-12-13 Mathew R. Syrowik Method, system and computer program product for detecting security threats in a computer network
KR100968126B1 (en) * 2008-02-15 2010-07-06 한국인터넷진흥원 System for Detecting Webshell and Method Thereof
CN101626368A (en) * 2008-07-11 2010-01-13 中联绿盟信息技术(北京)有限公司 Device, method and system for preventing web page from being distorted
KR101138988B1 (en) * 2009-10-26 2012-04-25 미라클워터 주식회사 Treatment apparatus for rain water
CN102546576B (en) * 2010-12-31 2015-11-18 北京启明星辰信息技术股份有限公司 A kind of web page horse hanging detects and means of defence, system and respective code extracting method
CN102546253A (en) * 2012-01-05 2012-07-04 中国联合网络通信集团有限公司 Webpage tamper-resistant method, system and management server

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2009169490A (en) * 2008-01-11 2009-07-30 Fuji Xerox Co Ltd User attribute information management program, user attribute information confirmation program, user attribute information management device, user attribute information confirmation device, and user attribute information management system
KR101080953B1 (en) * 2011-05-13 2011-11-08 (주)유엠브이기술 System and method for detecting and protecting webshell in real-time
KR20130008119A (en) * 2011-07-11 2013-01-22 주식회사 잉카인터넷 Method of detecting file alteration

Cited By (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20160000358A (en) 2014-06-24 2016-01-04 에스케이인포섹(주) Webshell detection apparatus having a fuction of analyzing whether webshell detection is correct or not, and method for analyzing whether webshell detection is correct or not thereof
CN105100065A (en) * 2015-06-26 2015-11-25 北京奇虎科技有限公司 Cloud-based webshell attack detection method, cloud-based webshell attack detection device and gateway
CN105100065B (en) * 2015-06-26 2018-03-16 北京奇安信科技有限公司 Webshell attack detection methods, device and gateway based on cloud
KR20190048606A (en) * 2017-10-31 2019-05-09 대한민국(국방부 공군참모총장) Realtime Web Attack Detection Method
KR102092411B1 (en) * 2017-10-31 2020-03-23 대한민국 Realtime Web Attack Detection Method
KR101865378B1 (en) * 2018-01-31 2018-06-07 주식회사 에프원시큐리티 Web shell detection system
CN110162973A (en) * 2019-05-24 2019-08-23 新华三信息安全技术有限公司 A kind of Webshell file test method and device
CN110162973B (en) * 2019-05-24 2021-04-09 新华三信息安全技术有限公司 Webshell file detection method and device

Also Published As

Publication number Publication date
CN103973664A (en) 2014-08-06
US8832834B2 (en) 2014-09-09
US20140215619A1 (en) 2014-07-31
JP2014146307A (en) 2014-08-14
JP5410626B1 (en) 2014-02-05

Similar Documents

Publication Publication Date Title
KR101291782B1 (en) Webshell detection and corresponding system
US11089046B2 (en) Systems and methods for identifying and mapping sensitive data on an enterprise
US8291500B1 (en) Systems and methods for automated malware artifact retrieval and analysis
JP5972401B2 (en) Attack analysis system, linkage device, attack analysis linkage method, and program
US7950056B1 (en) Behavior based processing of a new version or variant of a previously characterized program
CN112637220B (en) Industrial control system safety protection method and device
US20150047034A1 (en) Composite analysis of executable content across enterprise network
US20060272008A1 (en) Method and security system for indentifying and blocking web attacks by enforcing read-only parameters
US11336676B2 (en) Centralized trust authority for web application components
CN101816148A (en) Be used to verify, data transmit and the system and method for protection against phishing
WO2013130867A1 (en) Method and apparatus for retroactively detecting malicious or otherwise undesirable software
CN110417718B (en) Method, device, equipment and storage medium for processing risk data in website
CN101908116B (en) Computer safeguard system and method
Andriatsimandefitra et al. Detection and identification of android malware based on information flow monitoring
CN111510463A (en) Abnormal behavior recognition system
CN114024773B (en) Webshell file detection method and system
CN113726790A (en) Network attack source identification and blocking method, system, device and medium
CN113595981B (en) Method and device for detecting threat of uploading file and computer readable storage medium
JP2013152497A (en) Black list extraction device, extraction method and extraction program
US20170054742A1 (en) Information processing apparatus, information processing method, and computer readable medium
KR20130116418A (en) Apparatus, method and computer readable recording medium for analyzing a reputation of an internet protocol
US20210209240A1 (en) Information processing device, information processing method, information processing program, and information processing system
KR101876685B1 (en) SYSTEM FOR MANAGING vulnerability OF SOFTWARE USING SPDX TECHNOLOGY AND METHOD THEREOF
KR101153115B1 (en) Method, server and device for detecting hacking tools
KR101754964B1 (en) Method and Apparatus for Detecting Malicious Behavior

Legal Events

Date Code Title Description
A201 Request for examination
A302 Request for accelerated examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20160705

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20170629

Year of fee payment: 5

FPAY Annual fee payment

Payment date: 20180702

Year of fee payment: 6

FPAY Annual fee payment

Payment date: 20190626

Year of fee payment: 7